Implementando o Argus (semelhante ao netflow) que tipo de informação devo coletar?

1

Estou configurando uma versão experimental do Argus na minha empresa como uma ferramenta de diagnóstico. Temos uma caixa de coletor anexada a uma porta de monitoramento em nosso switch, e o plano inicial é redirecionar as portas com tráfego incomum para o coletor e analisá-las para obter informações sobre a solução de problemas.

Eu preciso vender isso antes de poder lançar uma solução de monitoramento mais consistente, que sei que é a verdadeira força desse tipo de aplicativo.

Os relatórios iniciais estarão todos na linha de comando, portanto, reduzir as informações apresentadas para um nível gerenciável é fundamental.

A minha pergunta é a seguinte: tanto do ponto de vista da segurança como da resolução de problemas, que informações seriam mais valiosas? Quais relatórios devo ter pré-configurados?

Eu já pensei em:

  • Listagem de endereço atualmente falando na porta (nosso mapa de rede é horrível)
  • Distribuição de protocolo,
  • fluxos atuais para um endereço IP específico

Talvez um em perda de pacotes ou conexões quebradas? (não tenho certeza se posso fazer isso)

Obrigado, gostaria de ter o pano de fundo para responder a isso, mas estou trabalhando muito para chegar lá.

    
por Chance 06.10.2009 / 16:29

1 resposta

1

Como primeiro passo, eu recomendaria olhar a página wiki Argus "oficial". É em grande parte uma página de livro de receitas que dá alguns ótimos exemplos dos tipos de consultas que podem ser executadas usando o conjunto de ferramentas. Também vale a pena navegar é a lista de discussão argus . Muitas vezes, usos interessantes do produto são compartilhados lá.

Além disso, meu escritório produziu vários scripts que funcionam na saída do comando 'ra'. Os que eu uso com mais frequência produzem os principais endereços $ nc por contagem de fluxo ou contagem de bytes. Alguns outros que produzem endereços de comunicação com C & Cs de botnet conhecidos.

    
por 08.10.2009 / 22:43